Selbstbeurteilung Datenschutz

Sie möchten die Einhaltung der datenschutzrechtlichen Bestimmungen in Ihrer Institution beurteilen?

Wir haben einen Fragenkatalog zusammengestellt, welcher auf einige wesentliche Fragen eingeht.

Bitte senden Sie eine e-mail an folgende e-mail Adresse:

claire-lise.lippuner@innovatis.net

Gerne senden wir Ihnen den Selbstbeurteilungsbogen zu.

Im Folgenden sind einige Erläuterungen zu verschiedenen Themen des Datenschutzes aufgeführt, die Ihnen bei der Beantwortung der Fragen eventuell nützlich sein können.

Personendaten

Daten, die sich auf eine bestimmte oder bestimmbare Person beziehen, unterstehen dem Datenschutzgesetz (dies gilt nicht für Sachdaten). Der Anwendungsbereich des Gesetzes erstreckt sich auf alle Formen der Datenbearbeitung wie das Beschaffen, Verwenden, Bekanntgeben, Aufbewahren usw. Dabei wird unterschieden, ob Personendaten oder besonders schützenswerte Personendaten bearbeitet werden. Einer der datenschutzrechtlichen Grundsätze ist das Gesetzmässigkeitsprinzip. Dies bedeutet, dass das Bearbeiten von Personendaten nur gestützt auf eine gesetzliche Grundlage erfolgen darf. Für das Bearbeiten von Personendaten, also Daten, welche sich auf eine bestimmte oder bestimmbare Personen beziehen, wie Name oder Adresse, genügt es, wenn die Aufgabe, zu deren Zweck die Datenbearbeitung geeignet und notwendig ist, gesetzlich verankert ist. Dies ist zum Beispiel der Fall, wenn die Aufgabe in einer Verordnung umschrieben ist. Bei besonders schützenswerten, also z. B. bei Daten mit strafrechtlichem Charakter oder Daten aus dem Gesundheitsbereich, ist die Gefahr einer Persönlichkeitsverletzung grösser. Deshalb braucht es für diese Bearbeitung eine formell-gesetzliche Grundlage, d.h. ein Gesetz, welches im Gesetzgebungsverfahren durch das Parlament erlassen wurde.

Besonderes schützenswerte Personendaten

Datenbearbeitungen besonders schützenswerte Personendaten, also von Daten, welche z.B. Informationen über die Gesundheit, strafrechtliche Sanktionen oder Massnahmen der sozialen Hilfe beinhalten, müssen sich auf eine formell-gesetzliche Grundlage stützen. Es muss ein Gesetz vorhanden sein, welches durch die Rechtssetzungsorgane erlassen wurde. Dasselbe gilt für das Bearbeiten von Persönlichkeitsprofilen, also von Daten, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit von Personen erlauben. Hier genügen keine Verordnungen.

Verhältnismässigkeitsprinzip

Daten dürfen nur bearbeitet werden, wenn sie sich für den Zweck, für welchen sie erhoben wurden, eignen. Weiter müssen sie für die Zweckerfüllung erforderlich sein

Zweckbindung

Daten dürfen nur für den ursprünglich erhobenen Zweck bearbeitet werden, es sei denn, eine weitere Verwendung ist rechtlich vorgesehen oder die betroffene Person hat im Einzelfall eingewilligt

Transparenz: Erkennbarkeit der Datenbeschaffung bei Personendaten

Die Datenbeschaffung und der Zweck ihrer Bearbeitung müssen für betroffene Personen erkennbar sein, d.h. Daten dürfen nicht auf eine Weise erhoben werden, mit denen eine Person nicht rechnen musste. Als erkennbar gilt z.B. eine Beschaffung von Daten, wenn die Möglichkeit der Beschaffung in einem Gesetz oder einer Verordnung verankert ist (Beispiel Amtshilfe).

Transparenz: Erkennbarkeit der Datenbeschaffung bei besonders schützenswerten Personendaten

Bei der Beschaffung von besonderen Personendaten müssen Betroffene über den Zweck der Bearbeitung informiert werden, wenn nicht aus einem Gesetz oder einer Verordnung die Beschaffung und der Zweck hervorgehen.

Anonymisierung oder Pseudonymisierung

Den Prinzipien der Datenvermeidung und Datensparsamkeit ist Rechnung zu tragen. Datenbearbeitungssysteme und –programme sind so zu gestalten, dass möglichst wenig Personendaten anfallen, die zur Aufgabenerfüllung notwendig sind.

Aufbewahrungsfrist

Es ist zwischen der Aufbewahrung und der Archivierung zu unterscheiden. Öffentliche Organe des Kantons Zürich dürfen Informationen so lange aufbewahren, als sie für das Verwaltungshandeln benötigt werden. Danach noch höchstens zehn Jahre. Allfällige Rechtsmittel- und Verjährungsfristen sind zu berücksichtigen. Sind diese länger als zehn Jahre, verlängert sich die maximale Aufbewahrungsdauer. Nach Ablauf dieser Frist sind die Akten dem Archiv anzubieten und anschliessend sind diejenigen, welche nicht archiviert werden, zu vernichten.

Archivierung

Nach Ablauf der Aufbewahrungsfrist bietet das öffentliche Organ die Informationen und Findmittel dem zuständigen Archiv an. Informationen, die nicht archiviert werden, sind zu vernichten.

Auskunftsrecht

Verlangt eine betroffene Person Auskunft über die sie betreffenden Personendaten, so ist ihr diese von der zuständigen Stelle inklusive der Information über die Rechtsgrundlagen, den Bearbeitungszweck, die an der Datenbearbeitung beteiligten Organe und der regelmässigen Empfänger, bekannt zu geben. Vorbehalten bleiben rechtliche Bestimmungen, überwiegende öffentliche oder private Interessen.

Verantwortlichkeit

Immer häufiger werden in der Verwaltung Datenpools geschaffen. Dies bedeutet, dass mehrere Stellen dieselben Informationen zu unterschiedlichen Zwecken bearbeiten. Die Verantwortlichkeiten müssen in diesen Fällen für die Verwaltung der Daten, für die Bekanntgabe aber auch für den Betrieb der elektronischen Datenbestände klar geregelt sein.

Verzeichnis der Informationsbestände

Öffentliche Organe sind verpflichtet, ein Verzeichnis ihrer Informationsbestände zu führen und dies öffentlich zugänglich zu machen.

Vorabkontrolle

 Werden Bearbeitungen von Personendaten geplant, welche besondere Risiken für die Rechte und Freiheiten der betroffenen Personen beinhalten, muss das Projekt dem Datenschutzbeauftragten zur Vorabkontrolle vorgelegt werden. Besondere Risiken sind z.B. das Einführen von Online-Zugriffen oder der Einsatz neuer Technologien.

Bekanntgabe von Personendaten: Amtshilfe

 Unter Amtshilfe versteht man die gegenseitige Unterstützung von Verwaltungseinheiten. Aus Sicht des IDG bedeutet Amtshilfe eine Datenbekanntgabe im Einzelfall durch ein öffentliches Organ an ein anderes öffentliches Organ. Voraussetzung einer solchen Anfrage ist, dass die Daten zur Erfüllung der gesetzlichen Aufgaben benötigt werden. Diese Anfragen sind zu begründen.

Bekanntgabe von Personendaten: Interessenabwägung

Wenn eine gesetzliche Grundlage, also ein Spezialgesetz oder auch die Einwilligung der betroffenen Person, eine unmittelbar bestehende Gefahr für Leib und Leben oder die Amtshilfe die Bekanntgabe von Personendaten legitimieren, muss in einem zweiten Schritt überprüft werden, ob wesentliche öffentliche Interessen, offensichtlich schützenswerte Interessen einer betroffenen Person oder rechtliche Bestimmungen (z.B. besondere gesetzliche Geheimhaltungspflichten) bestehen, welche die Datenbekanntgabe einschränken, verhindern oder bewirken, dass die Datenbekanntgabe mit Auflagen verbunden werden muss.

Bekanntgabe von Personendaten: Nicht personenbezogene Zwecke

Bei einer Bekanntgabe von Personendaten an Dritte für Forschungszwecke oder Statistiken müssen diese anonymisiert werden oder es muss zumindest sichergestellt werden, dass der Empfänger sie so schnell als möglich anonymisiert.

Bekanntgabe von Personendaten: Abrufverfahren

Unter Abrufverfahren versteht man automatisierte Verfahren, welche die Bekanntgabe von Daten an Dritte durch Abruf ermöglichen, wie zum Beispiel Online-Zugriffe. Weil bei einem Online-Zugriff keine Interessenabwägung mehr stattfindet und das bekannt gebende Organ keinen Einfluss mehr hat, muss dieser Zugriff bei Personendaten in einem Gesetz oder in einer Verordnung, bei besonderen Personendaten in einem Gesetz im formellen Sinn verankert sein.

Bekanntgabe von Personendaten: Outsourcing

Werden Bearbeitungen von Personendaten an Dritte übertragen (Outsourcing), so bleibt die Verantwortung für die Daten beim übertragenden Organ. Das Outsourcing bedingt, sofern rechtlich nicht festgehalten, einen schriftlichen Vertrag mit gesetzlich vorgeschriebenem Inhalt.

Grenzüberschreitende Datenbekanntgabe

Werden Daten ins Ausland transferiert, ist der Schutzbedarf besonders hoch. Einen Mindestschutz bietet das betreffende Europarats-Übereinkommen. Hat der Datenempfänger dieses nicht ratifiziert, dürfen Daten nur bekannt gegeben werden, wenn entweder der Empfänger ein angemessener Schutz gewährleistet, eine gesetzliche Grundlage die Datenbekanntgabe erlaubt oder vertragliche Sicherheitsvorkehrungen getroffen wurden.

Organisatorische und technische Fragen

IKT-Sicherheitsleitlinie

Die Sicherheitspyramide (hierarchischer Aufbau der Richtlinien) besteht aus drei Ebenen: In der ersten Ebene werden kurz und prägnant die allgemeinen Sicherheitsziele der Information und Kommunikationstechnologie (IKT-Sicherheitsziele) und die IKT-Sicherheitsstrategie formuliert. Die Strategie enthält keine technischen Details, wird vom Management verabschiedet und wird selten geändert. In der zweiten Ebene werden aus der Strategie grundlegende technische Anforderungen abgeleitet. Dazu gehören wenige Dokumente, die verschiedene Aspekte der IKT-Sicherheit beschreiben (z. B. eine Richtlinie zur Internetnutzung oder ein Virenschutzkonzept), ohne auf konkrete Produkte einzugehen. In der dritten Ebene werden technische Details, konkrete Maßnahmen und produktspezifische Einstellungen beschrieben. Sie enthält viele Dokumente, die regelmäßig geändert werden und nur von den zuständigen Experten gelesen werden.

Informationsicherheitsorganisation

Es geht um die Funktionsbeschreibung der am Sicherheitsprozess verantwortlichen Personen. Folgende Komponenten sollten beschrieben werden:

• Der Name der Funktion
• Die Zielsetzung für diese Funktion
• Die Aufgaben und Aktivitäten, die aus den Sicherheitsprozessen abgeleitet werden können
• Die für die Ausübung dieser Funktion notwendigen Kenntnisse und Erfahrungen

Beispielsweise können folgende Funktionen definiert werden: Dienststellenleitung, Sicherheitsbeauftragter Dienstelle,

Prozessverantwortlicher Dienstelle, Benutzer, IT-Leitung, IT-Prozessverantwortlicher, IT-Systemverantwortlicher.

Verantwortlichkeiten

Die verantwortlichen Personen für Netzwerke, Systeme und Applikationen sind mit ihren Stellvertretungen schriftlich zu bestimmen.

Zugriffskontrolle

Um IKT-Systeme bzw. System-Komponenten und Netze nutzen zu können bzw. um dort gespeicherte Informationen abrufen zu können, muss die Zugriffs- bzw. Zugangskontrolle geregelt sein. Neben den an den einzelnen IKT-Komponenten (Objekten) einzurichtenden Zugriffs- bzw. Zugangskontrollen hat eine übergreifende Richtlinie hierzu zu existieren, in der die Grundsatzfragen geregelt sind. Folgende Struktur entspricht der logischen Abfolge bei der Erstellung des Zugriffskonzepts:

• Aufgabenzuteilung
  • Profile der Aufgaben im IT-Betrieb
  • Profile der Aufgaben in der Stelle
  • Funktionstrennung
  • Zuweisung der Profile zur Stelle oder Person
• Strukturierte Datenhaltung
• Vergabe der Zugriffsrechte
  • Objekte
  • Rechte
  • Gruppen
  • Einschränkungen (Zeit, Ort, Objekttyp)
  • Zuweisung zur Stelle oder Person
• Einrichten der Zugriffsrechte
  • Dateneigentümer
  • Administratoren
  • Hotline
  • Meldestelle für Sicherheitsvorfälle
  • Ablauf
• Detailspezifikationen
  • Namenskonventionen (extern und intern)
  • Betriebssystemebene
  • Datenbankebene
• Kontrolle der Protokolldateien
• Periodische Überprüfung

Passwörter

Der Passwortwechsel muss spätestens alle 3 Monate technisch erzwungen werden. Allfällige Applikationen mit eigenen Passwörtern sind falls immer möglich gleich einzurichten. Das Passwort muss mindestens 8-10 Zeichen lang sein, sowie Sonderzeichen und Ziffern beinhalten.

Verschlüsselung

Das Kryptokonzept beschreibt eine Vorgehensweise, wie in einer heterogenen Umgebung sowohl die lokal gespeicherten Daten als auch die zu übertragenen Daten wirkungsvoll durch kryptographische Verfahren und Techniken geschützt werden können.

Entsorgung

Vor der Entsorgung müssen Datenträger wie Disketten, Disks, CDs, DVDs, Tapes, USB-Sticks usw. physikalisch gelöscht werden (Beispiele: Überschreiben der Daten durch spezielle Löschprogramme, physikalische Zerstörung des Datenträgers).

Physikalische Sicherheit

Das Zutrittskonzept kann z.B. folgende Bereiche beinhalten:

• Festlegung der Sicherheitszonen
• Vergabe von Zutrittsberechtigungen
• Bestimmung eines Verantwortlichen für die Zutrittskontrolle
• Definition von Zeitabhängigkeiten
• Festlegung der Beweissicherung
• Behandlung von Ausnahmesituationen
• Kontrolle der Zutritte

Einhaltung von Vorschriften

Die auf der IKT-Sicherheitsleitlinie basierenden Konzepte müssen regelmässig (ca. 1-mal pro Jahr) auf ihre Übereinstimmung geprüft werden.

Zusätzlich zur Klassifizierung der Systeme, Daten und Anwendungen, muss auch definiert werden, welche Massnahmen die verschiedenen Schutzbedarfsstufen erfordern

Ein- und Austrittsprozess

• Einweisung des Nachfolgers
• Berechtigungen / Passwörter
• Schlüssel
• Weisungen
• Awareness-Schulung
• Software-Schulung

E-Mail und Internet

Für Amtsstellen ist die kantonale Verordnung verbindlich. Eine noch detailliertere E-Mail- und Internet-Weisung bzw. Hilfestellung sollte die Verordnung immer ergänzen. Sie ist Bestandteil der internen Weisung für die Benutzung der IKT-Geräte (PC-Weisung) und von den Mitarbeitenden zu unterzeichnen.

Sicherheitsaufgaben in Stellenbeschreibungen

Die Verantwortung für Datenschutz und IKT-Sicherheit ist explizit den Mitarbeitenden zuzuweisen. Die entsprechenden Ressourcen sind ebenfalls zu gewähren. Eine rollende Jahresplanung sorgt für die permanente Sensibilisierung der Mitarbeitenden z.B. in den Bereichen Virenschutz, Passwortverwendung und Verwendung von IKT-Geräten gemäss den internen (PC-)Richtlinien.

Informationen bezüglich Datenschutz

Die Mitarbeitenden sind regelmässig über die getroffenen Datenschutz- und IKT-Sicherheitsmassnahmen durch die Verantwortlichen als Teil der Sensibilisierungskampagne zu informieren.

Administratorenrechte

Ist sichergestellt, dass die Mitarbeitenden nur die Administratorenrechte besitzen, welche sie auch benötigen?

Nachvollziehbarkeit

Werden schützenswerte Daten verändert, muss die verantwortliche Person bzw. das verantwortliche System identifizierbar sein.

Personal Firewall

Eine Personal-Firewall hat den Vorteil gegenüber einer Netzwerk-Firewall, dass sie je nach Applikation die Kommunikation zulassen bzw. blockieren kann. Somit können die Zugriffe auf Applikationsebene geregelt werden, wodurch die Regeln feingranular definiert werden können. Zudem schützt sie auch vor internen Angriffen, bei welchen keine Netzwerk-Firewall dazwischen steht.

Freigabeverfahren Internetpublikation

Es ist wichtig, dass alle Veröffentlichungen ein festgelegtes und nachvollziehbares Kontrollverfahren durchlaufen. Dies sollte eine inhaltliche Qualitätskontrolle ebenso umfassen wie eine formale Freigabe. Hier muss überprüft werden, ob die Informationen überhaupt für eine Veröffentlichung geeignet sind oder ob sie z. B. vertraulich sind, dem Datenschutz unterliegen, Copyright-geschützt sind oder Ähnliches.

Datendiebstahl

Folgende Massnahmen helfen, Datendiebstahl zu vermeiden:

• Festplattenverschlüsselung
• Monitoring bezüglich Datentransfer des Dateiservers
• Verschlüsselter Transfer übers Netzwerk
• Automatische Verschlüsselung bei Transfer auf CD / USB-Stick oder den Transfer auf externe Datenträger ganz unterbinden

Vielmals geschieht Datendiebstahl von internen Stellen, somit sollte auch ein Monitoring-System eingeführt werden, welches aufzeichnet, wenn grosse Datenmengen von einer einzelnen Station abgerufen wurden.

Überprüfung der Sicherheitsmassnahmen

Die Amtsstellen und Gemeinden sind gemäss § 18 ISV (Informationssicherheitsverordnung, LS 170.8) durch unabhängige Stellen periodisch zu überprüfen.

Mobile Arbeitsplätze + Geräte

Bei mobilen Geräten existieren zusätzliche Risiken, welche den Benützenden verständlich gemacht werden müssen. Dabei ist eine Weisung für mobile Geräte zu erlassen.

Protokollierung bei besonders schützenswerten Personendaten

Bei einer Bearbeitung von besonders schützenswerten Personendaten muss protokolliert werden, wer wann wie auf welche Daten zugegriffen und diese bearbeitet hat. Besonders schützenswerte Personendaten sind zur Zeit im Datenschutzgesetz wie folgt definiert: Daten, bei denen wegen ihrer Bedeutung, der Art ihrer Bearbeitung oder ihrer Verknüpfung mit anderen Daten eine besondere Gefahr einer Persönlichkeitsverletzung besteht, wie Daten über:

• die religiösen, weltanschaulichen, politischen oder gewerkschaftlichen Ansichten oder Tätigkeiten
• die Gesundheit, den persönlichen Geheimbereich oder die Rassenzugehörigkeit
• Massnahmen der sozialen Hilfe
• Strafrechtliche Verfolgungen und Sanktionen